Do’s en don’ts voor een succesvolle interne phishingcampagne

Geen enkele securityoplossing adverteert honderd procent bescherming. Logisch: antivirussoftware en andere bescherming moet per definitie een antwoord bieden op de nieuwste bedreigingen die vindingrijke hackers uit hun hoed toveren. De beveiliging loopt zo altijd een beetje achter op de recentste dreigingen. Toch komt het grootste gevaar niet altijd van hypermoderne aanvalstechnieken of zero day-lekken.

In realiteit zijn hackers ook maar mensen, op zoek naar een eenvoudige manier om snel geld te verdienen. Ze zoeken daarom naar de zwakste schakel in iedere beveiliging: andere mensen. Vervolgens richten ze hun vizier op plaatsen waar geld zit: bedrijven.

De bal ligt in het kamp van de bedrijven: het is aan ondernemingen zelf om hun medewerkers op te leiden en bewust te maken van de gevaren van phishing. Zo kom je tot een wisselwerking waar de mensen op de werkvloer enerzijds actief meewerken aan een veilige bedrijfsomgeving, en anderzijds wapent de opgedane kennis hen ook in de privésfeer tegen oplichters.

Het idee is niet nieuw: in het Verenigd Koninkrijk krijgen werknemers al sinds 2018 bijscholing en ondersteuning. De Minimum Cyber Security Standard (MCSS) die het land implementeerde voor Britse organisaties verplicht hen om een cultuur van cyber awareness op poten te zetten.

En in Europa is de nieuwe richtlijn inzake netwerk- en informatiesystemen (NIS-2) onlangs goedgekeurd. Vanaf 2024 zullen bedrijven en leveranciers uit belangrijke sectoren hun cyberweerbaarheid drastisch moeten versterken en moeten kunnen aantonen dat zij actief en consequent cyberveiligheidsbewustzijn creëren. De managementleden zullen zelfs verplicht worden om specifieke security awareness training te volgen.

Als organisatie hoef je niet te wachten op regels en verplichtingen. Naast een uitgebreide en up-to-date beveiligingsinfrastructuur, kan je het bewustzijn rond cyberdreigingen bij je werknemers zelf opkrikken. Bij Phished specialiseren we ons daarin. We rolden al interne phishingcampagnes uit en boden gespecialiseerde opleidingen aan, aan onder andere VRT, UZA, Kinepolis, Studio 100, Intigriti en andere. Zo confronteren we werknemers met realistische aanvallen en voorzien we context, zodat mensen voorbereid zijn wanneer ze oog in oog komen te staan met de real deal.

In deze whitepaper zetten we de belangrijkste do’s en don’ts in de verf die je als leidraad kan gebruiken voor een geslaagd opleidingstraject voor je eigen medewerkers. Een zorgvuldige campagne is van onschatbare waarde, maar een slecht uitgedachte aanpak kan meer kwaad dan goed doen.

We verklappen alvast één gouden regel: je werknemers moeten iets bijleren. Ze mogen nooit het gevoel krijgen dat ze gepest of geviseerd worden, al zeker niet wanneer ze meer begeleiding nodig hebben. Testen is de boodschap, niet pesten!

Hoe is het nu echt gesteld met het cyberbewustzijn binnen je onderneming? Om een succesvol opleidingstraject uit te werken, moet je niet alleen weten waar je heen wilt, maar ook waar je vertrekt. Daarom is de nulmeting zo belangrijk: dat is de allereerste test waarmee je medewerkers confronteert. Het doel is om een duidelijk zicht te krijgen op het algemene kennisniveau.

Bij een eerste interne phishingcampagne trappen er gegarandeerd veel mensen in de val. Gemiddeld zien we dat tot 50 procent van de medewerkers zich laat vangen, zelfs wanneer ze weten dat er iets zit aan te komen. Mensen begrijpen de omvang van het probleem beter wanneer ze vaststellen hoe snel phishing hen om de tuin kan leiden. Door vooraf te communiceren over de phishingsimulatie,
heb je bovendien een sterkere case om je plannen voor een opleidingstraject te verdedigen.

Haal hiervoor alles uit de kast. Kies bijvoorbeeld voor een mail met typosquatting, waarbij de naam van de afzender of de gebruikte link heel sterk lijkt op die van een vertrouwde organisatie, op een typfoutje na. In deze mail kan je wel interne kennis gebruiken, met verwijzingen naar zaken die alleen collega’s (of hackers met toegang tot hun mailbox) kunnen weten. Je zal merken dat het resultaat ondanks de opgevoerde moeilijkheidsgraad beter is dan bij de eerste test.

Die techniek is het testen zeker waard, maar zorg ervoor dat de persoon in kwestie niet voor verrassingen komt te staan. We zien dat mensen het doorgaans leuk vinden om deel uit te maken van een leerrijk complot. Al moet je natuurlijk iemand kiezen die een geheim kan bewaren.

Na de tests is het tijd om de resultaten diepgaand te analyseren. Welke zwakke plekke van je organisatie komen bovendrijven? Zijn er teams of departementen die extra opleiding nodig hebben? Trappen er meer mensen in de gesimuleerde phishingmails wanneer ze de mail mobiel openen? Met die kennis kan je concreet aan de slag!

Kies voor een eenvoudige mail die zogezegd afkomstig is van een collega. LinkedIn is daarbij een fantastische bron. Begin niet meteen met mails met daarin verwijzingen naar internebedrijfskennis, of de gekende bedrijfslay-out. Een simpele eerste simulatie zal al voldoende slachtoffers maken en toont meteen de noodzaak van verdere tests.

Je zou in je phishingmail extra centjes kunnen beloven als lokaas; mensen zullen dan inderdaad veel sneller klikken. Helaas is dat toch geen goed idee: wanneer blijkt dat je mail slechts een phishingtest was en de bonus niet bestaat, verliezen je mensende motivatie om bij te leren. Criminelen zijn niet vies van de techniek, maar je wil je werknemers aan jouw kant houden. Houd het dus netjes, of wees bereid om denegatieve gevolgen te dragen.

Met de nulmeting achter de hand, weet je waar je staat. Nu is het tijd om te bepalen waar je heen wilt met je bedrijf. Hoe snel en hoe intens je meer bewustwording wilt opbouwen, hangt af van bedrijf tot bedrijf. Doorgaans kiezen CISO’s en IT-managers een klikpercentage van minder dan 5 procent als doel dat ze na een jaar willen bereiken.

Geen enkele mens is feilloos, dus verwacht niet dat je met je hele organisatie op 0 procent kan geraken. Dat hoeft ook niet: met een goede en doortastende opleiding kan je een catastrofe al vermijden. Laat iemand zich toch verleiden tot een ongepaste klik, dan weet de hele organisatie, dankzij het volledige opleidingstraject, precies hoe te reageren.

Laat weten hoeveel medewerkers zich lieten vangen maar besef dat iedereen erin kan trappen. Zelfs bij Phished, waar we dagelijks rond phishing werken, laten collega’s zich af en toe verrassen. Zorg ervoor dat iedereen weet wat de doelstelling is, zodat je er als organisatie naartoe kan werken.

Bewustwording heeft tijd nodig en niet iedereen leert even snel bij. Kies voor een positief verhaal met ondersteuning en geef mensen de tijd die ze nodig hebben om te groeien.

Het uiteindelijke doel is om je bedrijf veiliger te maken en je werknemers te wapenen met een gezonde achterdocht binnen een cyberveilige cultuur. Vier factoren dragen bij tot de groei van je medewerkers: frequentie, personalisatie, opleiding en betrokkenheid.

Hoe snel het kennisniveau binnen je onderneming stijgt, gaat hand in hand met de intensiteit van de training. Het is geen rocket science: hoe vaker je phishingsimulaties uitvoert, hoe minder mensen er aan het einde van het jaar intrappen. Kies je ervoor om via ons algoritme slechts één keer om de 90 dagen een phishingsimulatie uit te sturen, dan zie je het phishingpercentage al dalen tot minder dan 13 procent. Meestal kiezen ondernemingen voor een iets intensievere aanpak met een simulatie iedere 15 dagen. Resultaat blijft daarbij niet uit: je landt ermee onder de grens van de 5 procent. Met een simulatie iedere vijf dagen krijg je het cijfer zelfs naar 1,5 procent.

Het volstaat niet om met een ad hoc-aanpak te werken en enkel simulaties uit te sturen wanneer je er zelf aan denkt. Je moet regelmatig testen: frequentie en resultaat gaan hand in hand. Zelf mails opstellen en uitsturen, vraagt veel tijd. Kies daarom voor een tool die het werk automatiseert.

We merken dat een jaarlijkse simulatie weinig tot geen effect heeft op de lange termijn. Cijfers tonen aan dat zelfs een doorgedreven cybersecuritytraining al na 6 maanden vergeten is. Herhalen is dus de boodschap.

Maak je geen illusies: iedereen is vatbaar voor phishing. Van het afdelingshoofd van een ziekenhuis tot de schoonmaakploeg, van de rector van een universiteit tot de receptionist, zelfs van de IT- specialist tot de digibeet: iedereen is een doelwit en iedereen kan zich laten vangen. Dat kan natuurlijk niet met generische mails; speeldaarom in op persoonlijke valkuilen. Je collega van marketing zal misschien iets te snel op een Facebooksimulatie klikken, terwijl de vrienden van accounting geen twee keer nadenken bij een professioneel ogende mail over een betalingsachterstand. Daarom is het belangrijk om medewerkers te testen met mails op hun maat.

Met verschillende onderwerpen en eventueel zelfs op een verschillend tempo. Benader de simulaties met een gepersonaliseerde aanpak en verras departementen. Zo heb je de meeste impact op hun werk- en denkwijze.

Collega’s zullen elkaar snel op de hoogte brengen wanneer ze ontdekken wat er gaande is, en dat doet de simulatie teniet. Een occasionele test waarbij je iedereen dezelfde inhoud voorschotelt kan, op voorwaarde dat je dergelijke tests afwisselt met meer gepersonaliseerde campagnes.

Phishingsimulaties zijn een geweldige manier om uw medewerkers voor te bereiden op het herkennen van echte bedreigingen, maar ze zijn slechts een eerste stap naar een veiligere, beter beschermde organisatie. Want bewustwording alleen is niet genoeg; het moet deel uitmaken van een holistische aanpak. Het is belangrijk om uw medewerkers een complete training aan te bieden die een breed scala aan cybersecurity topics bevat. Leer hen hoe ze met elk type bedreiging moeten omgaan dankzij tijdsefficiënte, frictieloze mircolearnings.

Uw werknemers geven niet om Netflix-achtige bibliotheken vol met video's waar niets mee gedaan kan worden. Leer ze wat ze moeten doen als het echt fout gaat en motiveer ze, met bewezen technieken uit gamification zoals nudges, beloningen en certificaten.

Opleidingen over de gevaren van eindejaarsphishing rond de kerstperiode zijn relevant, maar modules over feestdagen zoals Cinco De Mayo of 4th of July in de VS werken hier niet.

Die hebben hun plaats bij mensen die misschien iets trager bijleren, dus scheer je volledige personeelsbestand niet over dezelfde kam. Iedereen volgt zijn eigen leertraject.

Het cyberbewustzijnstraject bij Phished is geautomatiseerd door middel van onze eigen artificiële intelligentie. Die A.I. stuurt volledig automatisch phishingsimulaties naar individuele medewerkers. Dat spreekt tot de verbeelding: medewerkers stellen vast dat ze getest worden door A.I. en voelen zich meteen gemotiveerd om aan te tonen dat ze slimmerzijndan de robot aan de andere kant.

Zo leeft phishing binnen een organisatie. Rond het koffieapparaat praten collega’s over de phishingmails die het algoritme hun kant uitstuurt. Ze hebben het gevoel tegen een gezamenlijke vijand te strijden en zijn trots wanneer ze een mail doorzien en rapporteren. Die dynamiek stuwt het bewustzijn enorm vooruit.

Zo krijgen ze een actieve rol binnen het traject. Bijkomend voordeel: collega’s zullen automatisch ook echte spam- en phishingmails rapporteren, zodat de cybersecuritycultuur van de onderneming nog een extra boost krijgt. Die betrokkenheid noemen we activering.

De simulaties en opleidingen werken het best wanneer iedereen zich betrokken voelt en begrijpt wat de filosofie van het bedrijf is. Iedereen betekent echt iedereen: van C-level tot arbeider.

Door medewerkers te testen, op te leiden en te activeren, kom je al een heel eind. Toch ontbreekt er nog een laatste pijler voor een robuuste cyber awareness strategie: de rapportage. Welke simulaties werken het best? Welke ontvangers of afdelingen hebben baat bij extra sensibilisering? Via de rapportage leg je de zwakke plekken binnen je organisatie bloot, zodat je echte hackers een stapje voor kan blijven.

We stellen bijvoorbeeld regelmatig vast dat de meeste ontvangers zich laten vangen
wanneer ze een mail openen op hun smartphone. Dergelijke informatie is waardevol, want je kan er op inspelen met een specifieke trainingsmodule.

Die rapportage is erg nuttig om de ROI van Phished te illustreren. Je kan aan de hand van concrete cijfers en resultaten aantonen hoe de leercurve van medewerkers eruitziet.

We stippen deze praktijk nog eens aan, omdat het zo belangrijk is. Via API-integratie kan je cijfers bijvoorbeeld snel – eventueel geanonimiseerd – intern delen langs het intranet of op interne schermen. Die zichtbaarheid draagt opnieuw bij aan de bewustwording in de hele organisatie.

Het voornaamste argument van mensen om zich niet bezig te moeten houden met anti-phishing training –‘mij overkomt het nooit’ – snijdt dan ook geen hout: iedereen is namelijk vatbaar voor een goed uitgevoerde campagne.

Iedereen heeft wel eens een minder waakzaam moment, en precies daarom is continu testen belangrijk. Cybercriminelen wachten niet tot je eerste koffie naar binnen is, of je net je jaarlijkse awareness training hebt afgerond. Elke training die je volgt, is de volgende dag alweer een beetje gedateerd, omdat malafide hackers steeds nieuwe technieken en methodieken gebruiken om hun valstrikken realistischer en actueler te maken.

Recente datalekken bij onder meer Facebook en LinkedIn leren ons niet alleen dat aanvallers beschikken over enorme databases om hun phishingcampagnes op te baseren – en geloofwaardig te maken – maar ook dat ze weinig meer nodig hebben dan een simpele scrapingtool om mensen op een overtuigende manier in het vizier te kunnen nemen. Op slechts enkele seconden slaagt een hacker er zo in om eender wie in de val te laten lopen.

Om nieuwe aanvallen tegen te gaan en rampscenario’s te voorkomen, moeten we patronen leren herkennen om zo een permanente waakzaamheid op te bouwen. Dit kan alleen door een doorlopend trainingstraject aan te bieden aan onze medewerkers; een traject dat even wendbaar is als de groeiende cyberdreiging.

Phished biedt een holistische aanpak voor de Security Awareness Training van uw medewerkers. Omdat awareness alleen niet voldoende is, is het belangrijk om hen een complete training aan te bieden die alle basiselementen bevat.

Met behulp van vier pijlers komen de security awareness en gedrag van uw organisatie samen in de Phished Behavioural Risk Score™ (BRS).

• Phishing & Smishing Simulaties: verstuur gepersonaliseerde phishing simulaties zonder handmatige tussenkomst
• Active reporting: stop phishing-bedreigingen met één klik op de knop
• Trainingssessies & Checkpoints: verander gedrag met microlearnings
  
• Threat Alerts: waarschuw jouw werknemers als er zich incidenten voordoen in zowel hun professionele als hun privénetwerk​